Když mluvíme o počítačové kriminalitě, nemůžeme se vyhnout tématu ransomwaru. Je to jedna z mála výzev v oblasti kybernetické bezpečnosti, o které se diskutuje nejen v komunitách zabývajících se kybernetickou bezpečností a technologiemi, ale pravidelně se objevuje i v titulcích hlavních médií, na schůzích představenstva, a dokonce i v tísňových voláních od rodiny, přátel a sousedů.
Co můžete dělat, pokud byl váš počítač infikován ransomwarem, ztratili jste přístup ke všem souborům a nemůžete obnovit data ze záloh? Jednou z posledních zbývajících možností je přejít na stránku https://www.nomoreransom.org, kde najdete užitečné rady a nástroje pro obnovu souborů bez nutnosti platit výkupné. Nahrajete několik vzorků zašifrovaných souborů a uvedete podrobnosti z požadavku na výkupné. Crypto Sheriff identifikuje rodinu ransomwaru a poskytne odkaz na dešifrovací nástroj, pokud je k dispozici. Celkem jsou k dispozici dešifrovací nástroje pro 165 různých rodin ransomwaru, což pokrývá širokou škálu možných škodlivých původců.
Iniciativa No More Ransom je jedním z nejlepších příkladů toho, jak mohou soukromý a veřejný sektor spolupracovat pro dobro všech, od jednotlivců až po velké společnosti. Celkem 188 partnerů, včetně 49 jednotek policejních sborů z celého světa, a mnoha dodavatelů zabezpečení koncových bodů, spojilo své síly v tomto koordinovaném úsilí pomoci obětem útoků ransomwaru získat zpět jejich zašifrovaná data, aniž by museli zločincům platit. Společnost Bitdefender je hrdá na to, že se na této probíhající iniciativě podílí.
Obnova dat a narušení ekosystému kyberkriminality
Ransomware není novou hrozbou - ve skutečnosti existuje již více než 30 let. V době, kdy slavíme 6. výročí projektu No More Ransom, je vhodný čas přehodnotit, zda je stále aktuální. Koneckonců začal celý rok před WannaCry (který stále vede naše žebříčky) a prostředí IT se od té doby dramaticky vyvinulo.
Iniciativa No More Ransom je dnes relevantnější než v roce 2016. Původním cílem projektu bylo obnovení přístupu k zašifrovaným datům, ale dnes slouží ještě důležitějšímu účelu - narušení ekosystému kyberzločinu.
Moderní ransomware je dnes zcela jiný než v roce 2016. Největší změna nastala v roce 2018 se zavedením obchodního modelu s podílem na zisku, označovaného jako Ransomware-as-a-Service (RaaS). Tento "obchodní model" se často vysvětluje jako prostý pronájem infrastruktury ransomwaru, ale to není úplně přesný popis.
Největší světová taxislužba nevlastní žádná auta (Uber). Největší světová ubytovací společnost nevlastní žádné nemovitosti (AirBnB). A některé z největších skupin ransomwaru ve skutečnosti nenasazují vlastní ransomware. Místo toho spolupracují s nezávislými dodavateli (pobočkami) a po zaplacení výkupného se dělí o zisk. Často přehlíženým, ale důležitým faktorem je poměr sdílení příjmů mezi skupinou ransomwaru a přidruženými společnostmi. Zatímco skupině RaaS se dostává největší mediální pozornosti, nezávislá pobočka si ponechává většinu zisku (75-90 %). V posledních několika letech se moc přesunula od těch, kteří kontrolují kód ransomwaru, k těm, kteří kontrolují přístup k sítím a aktivně je využívají.
Nejtypičtější scénář útoku ransomwaru zahrnující skupinu RaaS. Procenta se vztahují k podílu plateb výkupného pro různé osoby.
Zvláštní pozornost věnujte toku peněz v tomto modelu. Zatímco zpočátku je za většinu práce zodpovědný partner, je to skupina ransomwaru (známá také jako provozovatel nebo správce), která vyjednává s obětí a vybírá výkupné.
Dekryptoři ransomwaru přeruší řetězec likvidace ransomwaru poté, co pobočky dokončí svou práci, ale ještě předtím, než provozovatel může vybrat platbu (mezi kroky 3 a 5 v diagramu). Pobočka úspěšně infiltrovala síť a týdny nebo měsíce se připravovala na útok. Když pak přijde velký den - výkupné se neplatí, protože data byla obnovena pomocí volně použitelného dešifrátoru.
K vývoji dešifrátoru je třeba identifikovat zranitelnost v kódu ransomwaru nebo je třeba, aby ze skupiny RaaS unikl soukromý klíč. Pobočka bude obviňovat provozovatele ransomwaru - ten přece dokončil práci a očekává platbu. Jak se soukromý klíč dostal ven? O kolik potenciálních příjmů přišel? To může vnést nejistotu do vztahu důvěry mezi těmito zločineckými partnery (to je dobře!).
Interní vyšetřování skupiny GandCrab zabývající se ransomwarem. Důležitou technikou narušení je udržet aktéry hrozeb v nejistotě ohledně zdroje úniku. Zdroj: Darknet forum
Původně požadovaná částka výkupného a částka, která je nakonec vyplacena, jsou dvě velmi odlišné věci, protože výše platby může kolísat. Skutečná částka může být vyšší (výkupné se obvykle zdvojnásobí, pokud nezaplatíte v určitém časovém rámci) nebo nižší (pokud oběť odmítne zaplatit nebo může obnovit data ze záloh) než původně požadovaná. Když je řetězec vymáhání výkupného přerušen dešifrátory, pobočky obviňují provozovatele ransomwaru a požadují za svou práci odměnu. Jak vypočítat náklady na ztracenou příležitost a kdo by měl zaplatit za odvedenou práci, i když výkupné nebude zaplaceno? Partneři potenciální ztráty přeceňují, zatímco provozovatelé ransomwaru je spíše podceňují. A čím vyšší je částka, tím větší je spor mezi pobočkami a provozovateli.
Dešifrátory Bitdefender ušetřily obětem téměř 1 miliardu dolarů na výkupném
Protože společnost Bitdefender je jedním z pěti největších přispěvatelů do projektu No More Ransom, prozkoumali jsme skutečnou částku, kterou tyto dešifrátory doposud zachránily obětem - takže můžete posoudit, jak užitečné mohou dešifrátory být.
V září 2021 jsme ve spolupráci s spolehlivým partnerem z oblasti vymáhání práva vydali bezplatný univerzální dešifrátor pro REvil (alias Sodinokibi). Tento dešifrátor dosud pomohl více než 1 500 společnostem v 83 zemích. Vzhledem k tomu, že oběti v rámci této operace poskytují jedinečné záznamy o výkupném jako součást procesu obnovy, můžeme v rámci této operace přesně vypočítat celkovou částku požadovaného (a odmítnutého) výkupného. Pomocí této metodiky můžeme přesně přiřadit přibližně 600 milionů USD, které byly zachráněny jen díky samotnému dekryptoru REvil.
V naší telemetrii představuje REvil méně než 1 % z celkového počtu stažení dekryptorů. U zbývajících dešifrátorů (například DarkSide nebo GandCrab) jsme k odhadu celkových plateb výkupného použili průměrné požadavky na výkupné a údaje z telemetrie. Odhadujeme, že všechny ostatní dešifrátory dohromady ušetřily dalších 350 milionů USD.
Ačkoli se požadovaná částka v čase násobí (obvykle se zdvojnásobí, pokud nezaplatíte v určitém časovém úseku) a ušetřená částka by mohla být mnohem vyšší, naše výpočty vycházejí striktně z počátečních požadavků. I při zachování konzervativních odhadů se celková částka výkupného, kterému zabránily naše dešifrovací nástroje, pohybuje kolem 950 milionů USD.
Pokud se chcete dozvědět více o tom, co je potřeba k likvidaci skupiny, jako je REvil, podívejte se na dokument Fighting REvil: Insights from the Frontline (Boj proti REvilu: Postřehy z první linie) se členy našeho elitního týmu Bitdefender DRACO pro sledování hrozeb.
Osvědčené postupy pro boj s ransomwarem
Snižovat riziko napadení ransomwarem je samozřejmě možné. Minimalizujte plochu útoku, implementujte automatické kontroly prevence, abyste zabránili mnoha typům bezpečnostních incidentů, a v případě několika málo incidentů, které projdou vaší obranou, se spolehněte na bezpečnostní operace posílené o silné nástroje detekce a reakce.
Kromě toho je nejdůležitějším krokem pochopit, jak moderní ransomware funguje. Podívejte se na naše video o 10 nejčastějších mýtech a mylných představách o ransomwaru, a poté si přečtěte náš technický dokument o ransomwaru, kde se dozvíte více o účinné ochraně proti ransomwaru.
Pokud jste se stali obětí ransomwaru, doporučujeme výkupné neplatit, protože pomáhá financovat budoucí aktivity kyberzločinců. Obraťte se na policii, a zkuste nahrát několik zašifrovaných souborů na web normoreransom.org, abyste zjistili, zda je k dispozici dešifrátor. Pokud jste orgán činný v trestním řízení a potřebujete technické znalosti v případech ransomwaru, kontaktujte nás na adrese draco@bitdefender.com. Pokud jste vy nebo vaše společnost byli postiženi útokem ransomwaru, obraťte se na nás na adrese forensics@bitdefender.com.
S tím, jak kyberzločinci přijímají modely rozdělování zisku, se stále více specializují a lépe koordinují své útoky. Jednou z nejúčinnějších metod boje proti tomuto trendu je jeho narušování a úzká spolupráce mezi soukromým a veřejným sektorem, které mají zásadní význam pro zvýšení bezpečnosti dnešního digitálního světa.
Comentarios